OWASP ZAP 为可信资源报告的“跨域 javascript 源文件包含”

【问题标题】:"cross domain javascript source file inclusion" reported by OWASP ZAP for trusted resourceOWASP ZAP 为可信资源报告的“跨域 javascript 源文件包含”
【发布时间】:2020-12-03 17:22:09
【问题描述】:

我的主机是 www.example.com,我正在提供 URL 为 www.example.com/html-url.html 的 html 页面。 在这些 html 中,我包含了一个来自 S3 存储桶的 javascript 文件,例如 bucket-name

OWASP ZAP 扫描为此发出低级别警报 - 跨域 JavaScript 源文件包含 证据:<script src="bucket-name/custom.js" type="text/javascript"/>

问题:有什么方法可以在配置中配置可信资源/URL 列表?我正在使用 NGINX 服务器。 请注意,由于某些原因,我需要获得一份干净的漏洞扫描报告。

我知道有这个 HTTP 标头“内容安全策略”,并且在官方网站上它说“内容安全策略 (CSP) 是一个 HTTP 标头,它允许网站运营商细粒度地控制其网站上的资源可以在哪里加载自。”

但我不确定我是否可以使用它。

【问题讨论】:

    标签: http-headers cross-domain content-security-policy nginx-config owasp


    【解决方案1】:

    您可以 delegate custom domain name 为 S3 存储桶,例如子域 cdn.example.com 以避免跨域 JavaScript 源文件。

    我不知道 OWASP ZAP 的“幕后”是什么,是否有可能使用 CSP 标头影响上面的 OWASP ZAP 警报,但 CSP 绝对应该给安全性加分。

    【讨论】:

      【解决方案2】:

      “干净的漏洞扫描报告”是可取的,但我个人认为它不应该是强制性的 - 网络扫描程序会报告潜在的漏洞,因此有些可能是误报,甚至是与您的情况实际上无关的真报。

      无论如何,“bucket-name/custom.js”不是跨域的,所以这看起来像是误报。你更新 ZAP 了吗?如果是这样,请将其作为 ZAP 问题提出,我们可以修复它:https://github.com/zaproxy/zaproxy/issues

      【讨论】:

        猜你喜欢
        • 2011-06-04
        • 1970-01-01
        • 2014-03-20
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2023-01-20
        • 2011-05-07
        • 2011-10-14
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode